УПД.2. Разграничение и контроль прав доступа
Цель: Реализация принципов минимизации прав доступа и разграничения прав доступа при реализации модели управления доступом субъектов к объектам доступа в информационной системе.
Требования к реализации: Разграничение и контроль прав доступа реализуются на основе модели управления доступом и должны обеспечивать управление доступом пользователей и запускаемых от их имени приложений при доступе (входе) в информационную систему и различных типах последующего доступа в информационной системе:
к программно-аппаратным средствам, машинным носителям информации и устройствам;
к запускаемым и исполняемым файлам приложений;
к информации в системах управления базами данных;
к параметрам настройки средств защиты информации;
к системным журналам, журналам приложений, журналам событий безопасности;
к доступным пользователям, устройствам и приложениям, API-интерфейсам;
к средствам удаленного администрирования;
к объектам доступа в виртуальной инфраструктуре (например, образам виртуальных машин, средствам виртуализации, запущенным виртуальным машинам);
к объектам доступа в контейнерной инфраструктуре (например, образам контейнеров, средствам контейнеризации (оркестраторам), запущенным контейнерам);
к иным определенным в информационной системе субъектам и объектам доступа.
В информационной системе должны быть обеспечены:
разграничение прав доступа непривилегированных и привилегированных пользователей, в том числе администраторов, администраторов безопасности, обеспечивающих функционирование информационной системы технических специалистов;
минимизация прав доступа субъектов доступа к объектам доступа.
В информационной системе должен быть установлен запрет использования пользователями информационной системы групповых (общих) учетных записей и учетных записей, заданных по умолчанию, посредством отключения (удаления) данных учетных записей в информационной системе.
В информационной системе должны быть пересмотрены ограничения и запреты действий для пользователей с целью актуализации правил разграничения и минимизации прав доступа ежегодно или при внесении изменений в методы и типы субъектов и объектов доступа, а также типы доступа субъектов к объектам доступа, или при существенном изменении числа и состава групп субъектов и объектов доступа.
Требования к документированию: В эксплуатационной документации на информационную систему должны быть определены:
обязанности (функции) пользователей (ролей) информационной системы;
права доступа, минимально необходимые для выполнения обязанностей (функций) пользователей (ролей) информационной системы;
права доступа, минимально необходимые для функционирования устройств и приложений в информационной системе;
принципы разграничения прав доступа непривилегированных и привилегированных пользователей (ролей), в том числе администраторов, администраторов безопасности, обеспечивающих функционирование информационной системы технических специалистов;
ограничения и запреты для каждого субъекта (роли) и объекта доступа, используемых в информационной системе.
1) в информационной системе должна быть обеспечена реализация ограничений и запретов совмещения одним пользователем информационной системы непривилегированных обязанностей по обработке информации и привилегированных обязанностей по администрированию, обеспечению безопасности, обеспечению функционирования информационной системы;
2) в информационной системе должна быть обеспечена минимизация прав субъектов и объектов доступа, являющихся устройствами и приложениями, в том числе средствами защиты информации, а также техническими компонентами информационной системы, такими как средства управления базами данных, конвейеры разработки, тестирования и доставки программного обеспечения, хранилища секретов, элементы сетевой инфраструктуры, облачные сервисы и средства администрирования, в том числе на уровне типов доступа к файлам и процессам приложений в операционной системе;
3) в информационной системе должен быть определен привилегированный пользователь (главный администратор), имеющий права по передаче полномочий по администрированию информационной системы и системы защиты информации другим лицам и осуществляющий контроль за использованием переданных полномочий.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2026
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2026 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2026 год
- Частичная мобилизация: обзор новостей
- Постановление Правительства РФ N 1875